QNAP corrige falhas críticas no software do NAS e do roteador

09/12/2024 mindsecblog Notícias 0

QNAP corrige falhas críticas no software do NAS e do roteador.

A QNAP lançou boletins de segurança no fim de semana, que abordam várias vulnerabilidades, incluindo três falhas críticas de gravidade que os usuários devem resolver o mais rápido possível.

A partir do QNAP Notes Station 3, um aplicativo de anotações e colaboração usado nos sistemas NAS da empresa, as duas vulnerabilidades a seguir o afetam:

CVE-2024-38643 – A falta de autenticação para funções críticas pode permitir que invasores remotos obtenham acesso não autorizado e executem funções específicas do sistema. A falta de mecanismos de autenticação adequados possibilita que os invasores explorem essa falha sem credenciais prévias, levando a um possível comprometimento do sistema. (Pontuação CVSS v4: 9,3, “crítico”)
CVE-2024-38645 – Vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que pode permitir que invasores remotos com credenciais de autenticação enviem solicitações criadas que manipulam o comportamento do lado do servidor, potencialmente expondo dados confidenciais de aplicativos.

A QNAP resolveu esses problemas no Notes Station 3 versão 3.9.7 e recomenda que os usuários atualizem para esta versão ou posterior para mitigar o risco. As instruções sobre a atualização estão disponíveis neste boletim.

Os outros dois problemas listados no mesmo boletim, CVE-2024-38644 e CVE-2024-38646, são injeção de comando de alta gravidade (pontuação CVSS v4: 8,7, 8,4) e problemas de acesso a dados não autorizados que exigem acesso no nível do usuário para exploração.

Falhas do QuRouter

A terceira falha crítica que a QNAP abordou no sábado é a CVE-2024-48860, que afeta os produtos QuRouter 2.4.x, a linha de roteadores seguros e de alta velocidade da QNAP.

A falha, classificada como 9,5 “crítica” de acordo com o CVSS v4, é uma falha de injeção de comando do sistema operacional que pode permitir que invasores remotos executem comandos no sistema host.

A QNAP também corrigiu um segundo problema de injeção de comando menos grave rastreado como CVE-2024-48861, com ambos os problemas resolvidos no QuRouter versão 2.4.3.106.

Outras correções da QNAP

Outros produtos que receberam correções importantes neste fim de semana são QNAP AI Core (mecanismo de IA), QuLog Center (ferramenta de gerenciamento de logs), QTS (sistema operacional padrão para dispositivos NAS) e QuTS Hero (versão avançada do QTS).

Aqui está um resumo das falhas mais importantes que foram corrigidas nesses produtos, com uma classificação CVSS v4 entre 7,7 e 8,7 (alta).

CVE-2024-38647: problema de exposição de informações que pode permitir que invasores remotos obtenham acesso a dados confidenciais e comprometam a segurança do sistema. A falha afeta o QNAP AI Core versão 3.4.x e foi resolvida na versão 3.4.1 e posterior.
CVE-2024-48862: falha de acompanhamento de link que pode permitir que invasores remotos não autorizados atravessem o sistema de arquivos e acessem ou modifiquem arquivos. Ele afeta as versões 1.7.x e 1.8.x do QuLog Center e foi corrigido nas versões 1.7.0.831 e 1.8.0.888.
CVE-2024-50396 e CVE-2024-50397: manipulação inadequada de cadeias de caracteres de formato controladas externamente, o que pode permitir que invasores acessem dados confidenciais ou modifiquem a memória. O CVE-2024-50396 pode ser explorado remotamente para manipular a memória do sistema, enquanto o CVE-2024-50397 requer acesso no nível do usuário. Ambas as vulnerabilidades foram resolvidas no QTS 5.2.1.2930 e no QuTS hero h5.2.1.2929.

Os clientes da QNAP são fortemente aconselhados a instalar as atualizações o mais rápido possível para se manterem protegidos contra possíveis ataques.

Como sempre, os dispositivos QNAP nunca devem ser conectados diretamente à Internet e, em vez disso, devem ser implantados atrás de uma VPN para evitar a exploração remota de falhas.

fonte: BleepingComputer